패킷파일 로우데이터 문자열/HEX 값 한번에 변경하기!

패킷파일을 조작해야 하는 경우 다양한 방법이 있다. 그런데 문자열과 같은 일부 데이터를 쉽고 빠르게 변경하는 방법은 없을까? 여러분의 시스템에 펄(Perl)이 설치되어 있다면 명령어 한줄로도 가볍게 내용을 변경할 수 있다.

1. 패킷파일의 문자열을 한번에 바꿀 수 있다.

바이너리 패킷 파일을 strings 로 살펴보면 문자열을 볼 수 있는데, 거기서 나오는 문자열을 임의로 변경할 수 있다. 즉, 패킷 데이터의 문자열을 바꿀 수 있는 것이다.

# strings test.pcap | grep TEST
TEST
TEST
TEST
TEST

자 그럼 다음과 같이 하여 변경을 할 수 있다.
# perl -pi -e 's/TEST/HTTP/g'

펄에서 TEST 라는 문자열을 검색하여 HTTP 로 변경을 하는데, 파일 수정까지 같이 해준다. 수정까지 바로 해준다는 점이 중요하다.

2. 문자열 뿐만 아니라 HEX 값도 한번에 변경해 보자.

문자열은 바꿀 수 있는데 HEX 값은 바꿀 수 없을까 ? 물론 바꿀 수 있다. \x 를 이용하면 간단히 해결된다. 패킷파일에서 변경하고자 하는 HEX 값은 다음과 같이 할 수 있다.

# perl -pi -e 's/\x00\x0c\x29\xb5/\x90\x90\x90\x90/g' merge.pcap

예를 들어, MAC 주소를 변경한다고 했을때 해당 값을 찾아 변경이 가능하다. 물론, 블로그에서 소개한 bittwiste 와 같은 도구를 이용해서도 말이다. 맥 주소뿐만 아니라 원하는 모든 것은 변경이 가능하다. 하지만 주의할 점이 있다. bittwiste 는 IP 등을 변경했을때 Checksum 값이 틀려지므로 보정을 해 주게 된다. 하지만 이와 같이 수동으로 직접 패킷파일을 조작하는 경우 Checksum 또한 본인이 스스로 해야 한다.

그러므로 상황에 따라 적절하게 사용하여야 한다. 직접적으로 고치는 경우가 때로는 유용하게 사용될 때가 있다. Payload 와 같이 특별히 Checksum 값 보정이 필요하지 않지만, 임의로 데이터를 바꿔야 하는데 그 변경할 내용이 아주 많다면 이런 방법이 유용해진다.

패킷파일의 민감한 정보를 지우고 전달하고자 하는 경우에는 이 방법을!

패킷파일을 전달하여야 하는데, 사내 IP 정보들이 알려지기는 싫고 할때 어떤 방법을 써야 할까? 패킷인사이드를 꾸준히 방문한 분들이라면 앞서 몇번 언급했던 패킷조작 프로그램을 이용해 IP 등을 변경할 수 있다. 또는 지금 필자가 소개하고자 하는 tcpdpriv 를 이용하면 간단히 해결된다. tcpdpriv 는 프로그램 이름에서도 살짝 느껴지는 것과 같이 패킷파일에서 private 한 정보를 제거해 주는 기능을 갖고 있다.

프로그램 정보 및 다운로드는 다음의 경로를 방문하면 된다 :

http://fly.isti.cnr.it/software/tcpdpriv/

다운 받은 파일은 컴파일 과정을 거쳐야 한다. 제작 된지 오래된 소스이기도 해서 첫 버전은 FreeBSD 와 같이 몇몇 시스템에서만 테스트 되었고 configure 옵션도 csh 로 지정되어 있었다.
지금 버전은 그래도 리눅스에서도 컴파일이 가능하다.

# ./configure
cat: VERSION: No such file or directory

./configure 를 통해 Makefile 이 만들어 지면 make 를 수행하자

debian:~/# make
gcc -g -Wall     -c -o tcpdpriv.o tcpdpriv.c
tcpdpriv.c: In function ‘verify_and_print_args’:
tcpdpriv.c:1504: error: invalid storage class for function ‘usage’
tcpdpriv.c:1570: warning: implicit declaration of function ‘usage’
tcpdpriv.c: At top level:
tcpdpriv.c:1749: warning: conflicting types for ‘usage’
tcpdpriv.c:1749: error: static declaration of ‘usage’ follows non-static declaration
tcpdpriv.c:1570: error: previous implicit declaration of ‘usage’ was here
make: *** [tcpdpriv.o] Error 1

그런데 컴파일 하는 과정에서 에러가 발생한다. 이 에러는 다음과 같이 수정하면 된다

# vi tcpdpriv.c

tcpdpriv 소스파일을 오픈하고 두군데를 수정하면 된다.

1) 1504 라인에서  static void usage(char *cmd); => 를 void usage 로 변경
2) 1749 라인에서 static 을 삭제

그리고 다시 컴파일을 하면 된다.

# make
gcc -g -Wall     -c -o tcpdpriv.o tcpdpriv.c
tcpdpriv.c:33: warning: ‘rcsid’ defined but not used
gcc -g -Wall     -c -o tcpdutil.o tcpdutil.c
tcpdutil.c:24: warning: ‘rcsid’ defined but not used
gcc -g -Wall   -o tcpdpriv  tcpdpriv.o tcpdutil.o  -lpcap

컴파일이 완료되면 다음과 실행하여 옵션들을 살펴볼 수 있다.

# ./tcpdpriv
attempt to write binary dump file to tty
usage:
./tcpdpriv [-Opq] [-a [[hh:]mm:]ss] [-A {0|1|2|50|99}] [-c count]
[-C {0|1|2|3|4|...|32|99}] [-F file] [-i interface]
[-M {0|10|20|70|80|90|99}] [-{P|T|U} {0|1|99}] [-r file]
[-s snaplen] [-w outputfile] [expression]
(one reasonable choice:  ./tcpdpriv -P99 -C4 -M20 ...)

간단하게 옵션 몇개를 살펴보자.

-A : IP 주소를 어떤식으로 표현할지를 결정한다. 레벨이 99인 경우 IP 주소는 변하지 않는다.
-c : 지정한 패킷 카운트 후에 종료한다.
-F : 사용할 필터를 지정
-i : 네트워크 인터페이스
-p : TCP, UDP 포트주소를 매핑한다.
-r : 읽어들일 패킷 파일을 지정
-w : 출력할 파일을 지정

위 옵션들을 보면 각 옵션마다 특정 값을 지정하는 것이 있어, 얼핏보면 복잡해 보인다.
간단하게 생각하면 0은 가장 안전한 옵션이라 생각하면 된다. 즉, 가급적 Private 한 정보는
제거하게 되고 , 99 는 많은 정보를 보여주는 것이라 볼 수 있다. 이런 개념으로 옵션에 사용되는 값을 이해하면 될것 같다.

직접 사용해 보는 것이 이해가 가능 빠르므로 한번 예를 살펴보자. 다음은 정상적인 일반 패킷 파일을 tcpdump 로 본 것이다.

11:11:33.480941 IP6 fe80::f95c:91a7:8bd8:6216.49403 > ff02::c.1900: UDP, length 146
11:11:34.532638 arp who-has 192.168.0.200 tell 192.168.0.240
11:11:34.534733 arp reply 192.168.0.200 is-at 00:01:36:2e:0b:a7 (oui Unknown)
11:11:34.534756 IP 192.168.0.240.48603 > kns.kornet.net.domain: 34133+ AAAA? www
.google.co.kr. (34)
11:11:34.545974 IP kns.kornet.net.domain > 192.168.0.240.48603: 34133 2/1/0 CNAM
E[|domain]
11:11:34.546180 IP 192.168.0.240.60837 > kns.kornet.net.domain: 30670+ A? www.go
ogle.co.kr. (34)
11:11:34.554454 IP kns.kornet.net.domain > 192.168.0.240.60837: 30670 8/4/4 CNAM
E[|domain]
11:11:34.555094 IP 192.168.0.240.45918 > pv-in-f99.1e100.net.www: S 2001641216:2
001641216(0) win 5840 <mss 1460,sackOK,timestamp 1127508 0,nop,wscale 4>

특별한 옵션을 사용하지 않고 -r 옵션을 통해 읽어들일 파일과 새로 저장할 파일을 지정하였다. 기본 옵션은 최대한 정보를 제거하는 것으로 설정되어 있다. (즉, 0 이다)

# ./tcpdpriv -w test2.pcap -r test.pcap
# map 32-bit addresses into sequential integers
# multicast addresses cloaked per -A and -C flags
# map 16-bit TCP port numbers into sequential integer
# map 16-bit UDP port numbers into sequential integer
# pktsin 138 pktsout 134 tooshort 0 uncoded 4

새롭게 저장된 test2.pcap 파일을 열어보면 IP 주소가 변경된걸 알 수 있다. 처음에 보였던 IPv6 와 ARP 정보도 보이지 않는다. 또한, 헤더 정보에 nop 이 많이 보여진다.

# tcpdump -r test2.pcap
11:11:34.534756 IP 1.0.0.1.1 > 1.0.0.2.2: UDP, length 34
11:11:34.545974 IP 1.0.0.2.2 > 1.0.0.1.1: UDP, length 132
11:11:34.546180 IP 1.0.0.1.3 > 1.0.0.2.2: UDP, length 34
11:11:34.554454 IP 1.0.0.2.2 > 1.0.0.1.3: UDP, length 314
11:11:34.555094 IP 1.0.0.1.tcpmux > 1.0.0.3.2: S 2001641216:2001641216(0) win 5840 <nop,no
p,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.685957 IP 1.0.0.3.2 > 1.0.0.1.tcpmux: S 959091973:959091973(0) ack 2001641217 win
 5672 <nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.686035 IP 1.0.0.1.tcpmux > 1.0.0.3.2: . ack 1 win 365 <nop,nop,nop,nop,nop,nop,no
p,nop,nop,nop,nop,nop>
11:11:34.686326 IP 1.0.0.1.tcpmux > 1.0.0.3.2: P 1:614(613) ack 1 win 365 <nop,nop,nop,nop
,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.816891 IP 1.0.0.3.2 > 1.0.0.1.tcpmux: . ack 614 win 108 <nop,nop,nop,nop,nop,nop,
nop,nop,nop,nop,nop,nop>
11:11:34.833127 IP 1.0.0.3.2 > 1.0.0.1.tcpmux: . 1:1419(1418) ack 614 win 108 <nop,nop,nop
,nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.833160 IP 1.0.0.1.tcpmux > 1.0.0.3.2: . ack 1419 win 546 <nop,nop,nop,nop,nop,nop
,nop,nop,nop,nop,nop,nop>

그럼 다른 옵션을 한번 사용해 보자. IP 주소의 변화를 좀 주고, -P 를 통해 포트번호가 바뀌지 않도록 99 를 주었다.

# ./tcpdpriv -A 50 -P 99 -w test2.pcap -r test.pcap
# tcpdump -r test2.pcap | more
11:11:34.534756 IP 16.76.127.170.48603 > 92.36.179.36.domain: [|domain]
11:11:34.545974 IP 92.36.179.36.domain > 16.76.127.170.48603: [|domain]
11:11:34.546180 IP 16.76.127.170.60837 > 92.36.179.36.domain: [|domain]
11:11:34.554454 IP 92.36.179.36.domain > 16.76.127.170.60837: [|domain]
11:11:34.555094 IP 16.76.127.170.45918 > 136.110.214.97.www: S 2001641216:2001641216(0) wi
n 5840 <nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.685957 IP 136.110.214.97.www > 16.76.127.170.45918: S 959091973:959091973(0) ack
2001641217 win 5672 <nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,n
op,nop,nop>
11:11:34.686035 IP 16.76.127.170.45918 > 136.110.214.97.www: . ack 1 win 365 <nop,nop,nop,
nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.686326 IP 16.76.127.170.45918 > 136.110.214.97.www: P 1:614(613) ack 1 win 365 <n
op,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop>
11:11:34.816891 IP 136.110.214.97.www > 16.76.127.170.45918: . ack 614 win 108 <nop,nop,no
p,nop,nop,nop,nop,nop,nop,nop,nop,nop>

그러면, 위와 같이 IP 는 좀더 랜덤하게 변했지만, 포트번호는 그대로 유지하고 있다. 포트번호는 유지하면서 IP 주소만 변경하여 패킷파일을 전달하는 경우 사용될 수 있다.

tcpdpriv 는 간단하게도 사용할 수 있는 만큼, 패킷파일 에서 민감한 내용을 제거할 때 유용하게 사용할 수 있을것이다.

패킷(Packet) 편집/생성을 윈도우에서 쉽게 해보자!

리눅스 환경에서의 도구를 많이 소개했는데, 이번에는 윈도우 기반의 도구 하나를 소개한다. 패킷 편집을 쉽게 할 수 있는 도구이다. 가끔 작업을 하다보면 패킷을 내가 원하는 대로 수정하여 전송하거나 그럴 필요성이 있다. 제품의 테스트라든지, 탐지 패턴 규칙 테스트 형태들이 이에 속할 것이다.

아래 도구는 패킷의 각 필드를 세부적으로 쉽게 수정할 수 있는 기능을 제공해 주고, 바로 전송할 수 있도록 해 준다. 물론, 교육적, 개인적으로 사용하는 것은 무료이다. Colasoft Packet Builder 로 다음 사이트에서 다운로드 받을 수 있다.

http://www.colasoft.com/packet_builder/

사용하기도 워낙 쉬어서 실행하고 Add 나 insert 를 선택하여 패킷 형태를 선택해 주고 각 세부 정보를 수정하면 된다. 또는 기존에 만들어진 PCAP 파일등을 Import 할 수 있다. 헤더 정보를 수정하면 Checksum 값이 달라지는데 기본적으로 Checksum 을 자동으로 계산하여 반영해 준다.

원하는 대로 수정하고 나서 전송할 패킷을 선택하고 Send 를 선택하면 다음 화면을 볼 수 있다.

몇번을 전송할지 정할 수 있으며 ( 0 은 무한 루프이다) 기본 설정을 하고, Start 를 누르면 전송이 된다.

자 그럼 위에서 설정한 것과 같이 전송이 된다. TCP 전송을 하면서 1.1.1.1 을 찾는 ARP 도 같이 발생하였다.

패킷을 생성하는 이 프로그램은 워낙에 인터페이스가 쉬우면서도 직관적이어서 패킷에 대한 기본 지식이 있으면 어렵지 않게 사용할 수 있다. 패킷 편집이 필요하다면 한번 사용해 보세요!.